EU-cyberrichtlijn voor financiele instellingen heeft impact op non-financiele bedrijven
De hoeksteen van de EU-strategie voor cyberveiligheid in de financiële sector is de Digital Operational Resilience Act (DORA), die op 16 januari 2023 in werking is getreden. DORA introduceert een toezichtkader voor kritieke ICT-dienstverleners (CTPPs). Deze verordening is gericht op het versterken van het vermogen van financiële instellingen om cyberincidenten te voorkomen, te weerstaan en ervan te herstellen.
Belangrijke aspecten van DORA zijn:
1. Uitgebreide ICT-risicobeheer vereisten
2. Verplichte incidentrapportage
3. Testen van operationele weerbaarheid
4. Toezicht op externe ICT-dienstverleners
Hoewel DORA primair gericht is op de financiële sector, strekt het bereik zich uit tot niet-financiële bedrijven die kritieke ICT-diensten leveren aan financiële entiteiten. Deze bedrijven kunnen te maken krijgen met direct toezicht, contractuele verplichtingen of indirecte effecten via de toeleveringsketen. Naarmate de financiële sector zich aanpast om aan DORA’s vereisten te voldoen, moeten niet-financiële bedrijven hun potentiële blootstelling beoordelen en zich waar nodig voorbereiden op naleving. [Artikel gaat verder na de volgende alinea]
Doelstellingen
DORA zal vanaf 17 januari 2025 van toepassing zijn, waardoor financiële entiteiten tijd krijgen om hun systemen en processen aan te passen. Opvolgend van DORA heeft de Europese Commissie een nieuw kader voorgesteld voor toegang tot financiële gegevens, voortbouwend op het bestaande concept van ‘open banking’. Dit kader beoogt:
– Veilige gegevensuitwisseling uit te breiden buiten betaalrekeningen
– Klanten meer controle te geven over hun financiële gegevens
– Klantgegevens en technische interfaces te standaardiseren
Voor financiële afdelingen betekent dit dat ze zich moeten voorbereiden op uitgebreidere mogelijkheden voor gegevensuitwisseling, terwijl ze tegelijkertijd robuuste beveiligingsmaatregelen moeten implementeren.
Invloed van DORA op niet-financiële bedrijven in de EU
Niet-financiële bedrijven die door Europese autoriteiten als CTPP worden aangemerkt, zullen direct door DORA worden beïnvloed, zelfs als ze niet primair in de financiële sector opereren. CTPPs die als kritiek worden beschouwd voor financiële entiteiten zullen onder direct toezicht komen te staan en kunnen te maken krijgen met aanzienlijke regelgevingseisen. Dit kan onder meer gaan om:
– Aanbieders van cloudcomputingdiensten
– Datacenterbeheerders
– Leveranciers van financiële software
– Aanbieders van financiële compliancediensten (bijv. AML-tools)
Contractuele vereisten
Niet-financiële ICT-aanbieders die contracten hebben met financiële dienstverleners zullen waarschijnlijk worden beïnvloed door contractuele verplichtingen. Financiële instellingen zullen DORA’s contractvereisten moeten doorvoeren naar hun ICT-leveranciers, waaronder mogelijk:
- Gedetailleerde beschrijvingen en updates van serviceniveaus
- Bepalingen voor gegevensbescherming en -herstel
- Bijstand aan de klant zonder of tegen vooraf overeengekomen kosten
- Samenwerkingsvereisten
- Specifieke beëindigingsrechten en opzegtermijnen
- Deelname aan beveiligingsbewustzijns- en trainingsprogramma’s
[Artikel gaat verder na de volgende alinea]
Impact op de toeleveringsketen
Zelfs als ze niet direct gereguleerd worden, kunnen niet-financiële bedrijven in de toeleveringsketen van financiële entiteiten te maken krijgen met verhoogde controle en eisen. Dit komt doordat financiële bedrijven moeten zorgen dat hun hele toeleveringsketen voldoet aan DORA’s normen voor operationele veerkracht. De implementatie van DORA heeft dus mogelijk gevolgen voor compliance, cyberbeveiligingsoplossingen en ICT-risicobeheertools van niet niet-financiële bedrijven. Bedrijven die deze diensten aanbieden, kunnen mogelijk een toegenomen vraag zien naarmate financiële entiteiten werken aan het voldoen aan DORA’s vereisten.
Geografische overwegingen
Hoewel DORA een EU-verordening is, kan de impact zich uitstrekken tot buiten de EU-grenzen. Niet-EU-bedrijven die ICT-diensten leveren aan EU-financiële entiteiten moeten mogelijk via contractuele verplichtingen voldoen aan DORA-vereisten. De verordening kan vergelijkbare wetten in andere rechtsgebieden beïnvloeden, wat mogelijk wereldwijde normen voor operationele veerkracht in de financiële sector kan beïnvloeden.
Tijdlijn voor naleving
Niet-financiële bedrijven die mogelijk door DORA worden beïnvloed, moeten zich bewust zijn van de implementatietijdlijn. DORA is op 16 januari 2023 in werking getreden. Volledige naleving wordt verwacht tegen begin 2025, waarbij de verordening vanaf 17 januari 2025 van toepassing is.